فا

‫ مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول

IRCAR201101084
زماني كه يك رخداد كشف مي­شود، تصميم گيري عجولانه در مورد آن موثر و كارآ نخواهد بود. با مدون كردن سياست­ها، روال­ها و توافق­هاي مناسب، احتمال انجام اشتباهات فاجعه آميز به حداقل خواهد رسيد. علاوه بر اين با در نظر گرفتن معيارهاي پيشگيرانه، قادر خواهيد بود تعداد رخدادها را نيز كم كنيد.
 
گام 1: از تكنيك­هاي پيشگيرانه براي جلوگيري از رخدادها استفاده كنيد.
بهترين راه براي مديريت يك رخداد اين است كه در گام اول از روي دادن آن جلوگيري نماييم. براي انجام اين كار، نياز به تدوين سياست­ها، كنترل و تحليل ترافيك شبكه، به كارگيري يك برنامه اصلاح آسيب پذيري­ها، تشخيص آسيب پذيري­ها، ارتقاي مهارت­هاي امنيتي فني كارمندان، پيكربندي آگاهانه سيستم­ها و ايجاد برنامه هاي آموزش مديريت رخداد است. تركيب اين اعمال، كار نفوذگران را براي دسترسي به سيستم­هاي شما و ضربه زدن به آنها سخت­تر مي­كند. به اين منظور فعاليت­هاي زير را انجام دهيد.
 
فعاليت 1-1: آسيب پذيري­هاي شناخته شده سيستم را اصلاح كنيد
حجم گسترده اي از نفوذهاي كامپيوتري از طريق آسيب پذيري­هاي شناخته شده اتفاق مي افتند. براي جلوگيري از نفوذ به سيستم، هيچ كاري مهمتر از پيكربندي امن سيستم­هاي جديد و اصلاح آسيب پذيري­هاي شناخته شده وجود ندارد.
يك پروسه رسمي براي بازبيني هشدارهاي امنيتي و تست و اعمال اصلاحيه ها ايجاد نماييد. با مديران سيستم­هاي خود كار كرده و اطمينان حاصل كنيد كه اصلاحيه هاي مهم در كوتاهترين زمان ممكن اعمال مي­شوند. اصلاحيه ها را پيش از اتصال سيستم­هاي جديد به اينترنت، بر روي آنها نصب كنيد.
نكته: يكي از درس­هاي كرم Code Red در جولاي 2001 اين بود كه بسياري از سيستم­هايي كه پشت فايروال قرار داشتند نيز آلوده شده بودند. بنابراين به اصلاح آسيب پذيري­هاي تمام سيستم­ها اهميت دهيد.
 
فعاليت 1-2: مهارت­هاي امنيتي فني را توسعه دهيد
در مقياس بزرگ معمولا آسيب پذيري­ها حذف نمي­شوند، چرا كه مديران سيستم­ها و شبكه ها و حتي متخصصين امنيتي از اين آسيب پذيري­ها آگاه نبوده يا نمي­دانند با آنها چه كنند. عاقلانه است كه از تك تك مديران سيستم و مديران شبكه و تك تك افرادي كه مسووليت مستقيم امنيت و عملكرد سيستم را بر عهده دارند بخواهيد كه مهارت­هاي خود را افزايش دهند و اين مساله را از طريق دريافت گواهي­هاي معتبر ثابت كنند.
 
فعاليت 1-3: سياستي در مورد محرمانگي ايجاد كنيد
سازمان شما بايد سياستي در مورد محرمانگي تدوين كرده و رعايت آن را اجباري كند. اين سياست بايد به سوالاتي مانند اين پاسخ دهد: "آيا ايميل­هاي ذخيره شده بر روي فايل سرور شما جزو دارايي­هاي سازمان به حساب مي آيد يا جزو دارايي­هاي هر يك از كاربران سيستم­ها؟". اين سياست همچنين بايد مشخص كند كه رمزگذاري در چه زماني مجاز بوده و تحت چه شرايطي مورد نياز است. بخش رمزگذاري بايد افرادي را كه كليدها را نگهداري مي­كنند نيز مشخص كرده باشد.
 
فعاليت 1-4: پيغام­هاي هشدار دهنده نمايش دهيد
از ديد حقوقي، نمايش پيغام­هاي هشدار دهنده يكي از مهمترين گام­هايي است كه مي­توانيد براي ايجاد آمادگي براي يك رخداد انجام دهيد. هر سيستمي بايد يك پيغام هشدار دهنده قابل مشاهده براي كاربراني كه سعي مي­كنند به آن وارد شوند، نمايش دهد. اين پيغام بايد بيان كننده اين نكات باشد كه اين سيستم جزو دارايي­هاي سازمان شماست، در معرض كنترل قرار دارد و استفاده بدون مجوز از آن ممنوع است. مشاور حقوقي شما بايد پيغام هشدار دهنده شما را بازبيني نمايد. اين پيغام نبايد سيستم عامل يا هدف اين كامپيوتر را مشخص كند.
 
فعاليت 1-5: يك راهكار سازماني براي مديريت رخداد ايجاد كنيد
زماني كه يك رخداد كشف مي­شود، شما بين دو روش مديريت رخداد بايد تصميم گيري كنيد. اولين و ساده ترين روش «منع، حذف و رد دسترسي» است. تمركز اين روش بر ريشه كن كردن مشكل با سرعت هرچه تمامتر و بازگشت به كار عادي است. روش ديگر كه به مهارت فني و برنامه ريزي بيشتري نياز دارد، عبارتست از «كنترل و جمع آوري اطلاعات». در اينجا شما به فرد نفوذگر اجازه مي­دهيد كه به حمله خود ادامه دهد. البته ممكن است اين كار را با محدوديت­هاي زيركانه كه خرابي را به حداقل مي­رسانند انجام دهيد. اغلب، تصميم گيري بين اين دو روش به اين بستگي دارد كه شما مايليد فرد نفوذگر را تعقيب كنيد يا خير. روش اول شواهد لازم براي شناسايي و تعقيب مجرم را در اختيار شما نمي­گذارد.
زماني كه روش اول انتخاب مي­شود، يك سازمان از مجموعه اي از تكنيك­ها مانند رد كردن دسترسي به «آدرس­هاي IP بد»، ايجاد محدوديت براي سرويس­ها با استفاده از يك فايروال يا مسيرياب براي فيلتر كردن ترافيك، يا فقط قطع كردن سيستم­هاي هدف از شبكه را مورد استفاده قرار مي­دهد.
هر دو روش مزايا و معايبي دارند. بهتر است كه سياست خود را با توجه به يك رخداد جدي تعيين كنيد. مديريت سازمان را وارد اين تصميم گيري نماييد. هر سيستم يا برنامه اي بسته به حساسيت آن، مي­تواند يك روش مديريت رخداد مخصوص به خود داشته باشد. اين تصميم به مديريت رده بالا وابسته است، اما بايد پيش از وقوع يك رخداد اين تصميم گيري انجام شود و در روال­هاي مديريت رخداد رسمي سازي گردد.
 
فعاليت 1-6: تشخيص نفوذ خودكار ايجاد كنيد
يك سيستم تشخيص نفوذ (IDS) مي­تواند يك مكانيزم هشدار دهي اوليه در هنگام وقوع نفوذ به يك سيستم ارائه دهد. محصولات تجاري و ابزارهاي رايگان مانند Snort مي­توانند طوري تنظيم گردند تا بخش­هاي حياتي شبكه را در مورد حملات نظارت كنند. بعلاوه، از عامل­هاي مبتني بر ميزبان بر روي سرورهاي حياتي استفاده كنيد تا در هنگام احتمال وقوع حمله به سيستم­هاي شخصي، هشدار دهند. هشدارها را اولويت بندي نموده و IDS را تنظيم كنيد تا تعداد «گزارش­هاي خطاي نادرست» را كاهش دهيد و هشدارهاي با كيفيت توليد نماييد. در صورتي كه يك رخداد كار سازمان شما را به دادگاه بكشاند، يك IDS به عنوان منبعي از داده ها مورد استناد قرار مي­گيرد تا نشان دهد كه لاگ­هاي سيستم­ها دستكاري يا جعل نشده اند.
نكته: برخي محصولات IDS مي­توانند طوري پيكربندي گردند كه به طور خودكار به يك رخداد پاسخ دهند. براي مثال مي­توانند اين كار را با قطع ارتباط فرد مهاجم يا تنظيم مجدد ليست كنترل دسترسي فايروال انجام دهند. در هنگام پيكربندي يك IDS به اين روش بايد احتياط لازم مد نظر قرار داده شود، چرا كه مهاجمان هوشمند قادر خواهند بود با استفاده از پاسخ خودكار، IDS شما را فريب دهند تا فعاليت­هاي ناخواسته اي را انجام دهد.
 
فعاليت 1-7: سياستي براي ارتباط با سازمان­ها و افراد خارج از سازمان ايجاد كنيد
يك گروه از رخدادهاي كامپيوتري كه به شدت در حال گسترش هستند، حملات انكار سرويس مبتني بر شبكه هستند كه از كلاهبرداري استفاده مي­كنند. در اين حالت يك فرد در بيرون از سازمان شما مي­تواند كاري كند كه كامپيوترهاي شما به يك سازمان ديگر حمله كنند. سازمان شما بايد سياستي را تدوين كند كه مشخص نمايد با چه كسي، در چه زماني و چگونه در سازمان­هاي بيروني تماس گرفته شده و در اين باره اطلاع رساني شود. بسيار مهم است كه درست مانند زماني كه سازمان شما هدف قرار مي­گيرد، در زماني كه سازمان شما به منبع مشكلات تبديل مي­شود نيز پاسخگو و مسووليت پذير باشيد. در اين رخدادهاي مدرن، سازمان شما مي­تواند منبع حملاتي به نظر بيايد كه در حقيقت نيست. روال­هايي بنويسيد كه ارتباطات با سايت­هاي منبع و سايت­هاي هدف را تعريف كنند.
سياستي براي برخورد با رخدادهايي كه كامپيوترهاي راه دور شما و رخدادهايي كه كامپيوترهاي پيمان­كاران و ساير كارمندان غير تمام وقت را درگير مي­كنند، تدوين كنيد. هر چه تعداد بيشتري از كارمندان از راه دور كار كنند، رخدادهاي امنيتي بيشتري سيستم­هاي راه دور را تحت تاثير قرار داده يا توسط اين سيستم­هاي ايجاد مي­شود. سياستي تدوين كنيد كه كار جستجو و ضبط اين سيستم­ها را انجام دهد. سيستم­هاي مشاوران، كارمندان موقتي و زير پيمانكاران در دسته اين سيستم­ها قرار مي­گيرند. اطمينان حاصل كنيد كه «سياست­هاي استفاده قابل قبول» سازمان شما، شامل كامپيوترهاي خانگي و كامپيوترهاي قابل حمل نيز مي­شود. سيستمي را ايجاد كنيد كه از طريق آن به طور روتين هر فرد خارجي كه به سيستم­ها و اطلاعات دسترسي دارد مانند مشاور را ثبت نماييد. اين ركوردها بايد جزئيات دسترسي مورد قبول را مشخص كند. به عنوان بخشي از اين سياست، راهكارها و مكانيزم­هايي را تعريف كنيد كه دسترسي آنها را پس از اتمام كار با سازمان شما يا انتقال به جاي ديگر يا در صورت عدم نياز، قطع كند.
 
فعاليت 1-8: توافق نامه هايي با سازمان­هاي بيروني ايجاد كنيد
توافق نامه هايي را با تمامي سازمان­هاي بيروني مرتبط با شبكه خود ايجاد كنيد كه به سازمان شما اين حق را بدهد كه در صورت نياز ارتباط آنها را قطع كرده و يا كنترل نماييد. برخي سازمان­ها ترجيح مي­دهند از زبان پيمانكاران خود استفاده كنند كه نياز دارد تمامي طرف­ها در صورت وقوع يك رخداد، به سايرين اطلاع رساني كنند. اطمينان حاصل كنيد كه ملزومات امنيتي در توافق نامه هاي سطح سرويس در نظر گرفته شده باشند.
 
فعاليت 1-9: دارايي­ها و سرورهاي حساس را مشخص كنيد
يك ارزيابي امنيتي براي شناسايي دارايي­هاي محاسباتي حساس شركت خود انجام دهيد. مشخص كنيد كه در صورتي كه يك سيستم از دسترس خارج شود يا اينكه داده هاي محرمانه آن افشا گردد، چه تاثيري بر سازمان مي­گذارد. يك تكنيك، استفاده از مقياس عددي احتمال وقوع (از 1 تا 5) و ميزان تاثير گذاري آن (از 1 تا 5) است كه 1 نشان دهنده كمترين خطر/هزينه و 5 نشان دهنده بيشترين خطر/هزينه است. اين دو را با هم جمع زده و خطرها را به شكل عددي و از زياد به كم منظم كنيد. زمان بيشتري براي محافظت از سيستم­هايي كه حساستر هستند صرف كنيد و گام­هاي اضافي براي امن كردن اين سيستم­ها در نظر بگيريد. در صورت امكان، صاحبان سيستم­ها نيز بايد در تعيين حساسيت دخيل باشند.
 
فعاليت 1-10: از سياست­هاي قوي براي حساب­هاي كاربري استفاده كنيد
حساب­هاي كاربري بدون استفاده يا حساب­هايي با كلمه عبور ضعيف، پتانسيل ويژه اي براي وقوع رخدادهاي امنيتي دارند. سياست­هاي تعيين كلمات عبور قوي را تعريف و اجراي آن را اجباري نماييد. اين سياست­ها شامل انقضاي يك كلمه عبور، قوانين پيچيدگي كلمه عبور (مانند كاراكترهاي حروف كوچك و بزرگ) و تاريخچه كلمات عبور است كه از يك كلمه عبور دو بار استفاده نشود. ابزارهايي مانند John the Ripper مي­توانند براي تخصيص كلمه عبور مورد استفاده قرار گيرند. همچنين ابزارهايي نيز براي يونيكس و ويندوز براي قوي كردن كلمات عبور وجود دارند.
 
فعاليت 1-11: يك بازبيني حقوقي بر سياست­ها و روال­هاي خود انجام دهيد
اگر شركت شما قصد دارد (يا ممكن است قصد داشته باشد) كه كارهاي قانوني در برابر يك رخداد انجام دهد، سياست­ها و روال­هاي شما بايد توسط متخصصين حقوقي بازبيني شود.
 
در قسمت بعدي به ساير گام­هاي مرحله آمادگي خواهيم پرداخت.
 
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0